maeck
Goto Top

Zusammenspiel Adguard + Active Directory + OPNsense

Hallo,

wir haben bisher ein reines Active Directoy DNS bei uns im Netzwerk gehabt, bei dem als Forwarder-DNS die Firewall/Router (OPNsense) eingetragen war. Alle Clients hatten im DHCP den AD-DNS Server eingetragen.

Nun haben wir separat Adguard Home als DNS-Filter installiert und mir stellt sich die Frage, welche DNS-Konfiguration nun sinnvoll ist.

Ich sehe folgende Szenarien:
A) Die Clients bekommen weiterhin den AD-DNS als DNS eingetragen, der AD-DNS leitet an Adguard weiter und Adguard an die Firewall.
Nachteil: Ich sehe in Adguard die einzelnen Clientanfragen nicht.

B) Die Clients bekommen Adguard als DNS eingetragen, Adguard leitet lokale DNS-Anfragen an den AD-DNS weiter und externe an die Firewall.
Nachteil: Fällt der Adguard aus (z.B. durch Reboot / Update, whatever) geht mir nicht nur der DNS-Filter flöten, sondern es gibt direkt kein Internetzugriff mehr.

c) Die Clients bekommen die Firewall/Router als DNS eingetragen. Die sendet interne DNS-Anfragen an den AD-DNS und externe an den Adguard, der wiederum an einen externen DNS (Quad9, etc) weiterleitet. In der Firewall gebe ich einen alternativen DNS ein, der auf einen externen DNS-Server verweist (z.B. Quad9) und bei Ausfall von Adguard greift.
Vorteil: Die Clients haben im Fehlerfall von Adguar weiterhin Internet, wenn auch ohne Filterung.

Aus meiner Sicht, würde ich Variante C) anstreben; ist das sinnvoll und funktioniert das? Gerade die Frage nach primärem und sekundärem DNS der Firewall (OPNsence). Wird wirklich immer nur der primäre verwendet und nur im Fehlerfall der sekundäre DNS-Servereintrag?

Übersehe ich etwas oder gibts noch eine andere/sinnvollere Lösung, damit sowohl das Active Directory sauber funktioniert als auch der DNS-Filter sauber arbeiten kann?

Gruß maeck

Content-ID: 671816

Url: https://administrator.de/forum/zusammenspiel-adguard-active-directory-opnsense-671816.html

Ausgedruckt am: 08.04.2025 um 08:04 Uhr

Dani
Dani 09.03.2025 um 10:29:32 Uhr
Goto Top
Moin,
A) Die Clients bekommen weiterhin den AD-DNS als DNS eingetragen, der AD-DNS leitet an Adguard weiter und Adguard an die Firewall.
Nachteil: Ich sehe in Adguard die einzelnen Clientanfragen nicht.
Damit wirst du leben müssen. Wenn dein AD grundsätzlich vollumfänglich funktionieren soll.

c) Die Clients bekommen die Firewall/Router als DNS eingetragen. Die sendet interne DNS-Anfragen an den AD-DNS und externe an den Adguard, der wiederum an einen externen DNS (Quad9, etc) weiterleitet.
Kann funktionieren. Aber da solltest du sicher sein, was die Konfiguration angeht. Weil Windows Clients in einem Windows-AD sind da sensibel.


Gruß,
Dani
aqui
aqui 09.03.2025 um 12:42:14 Uhr
Goto Top
chme91
chme91 11.03.2025 um 07:24:00 Uhr
Goto Top
Moin,

ich würde weiterhin die AD-DNS Server via DHCP verteilen. Die sollen dann entweder an
Adguard weiterleiten, oder du baust dir auf der FW einen LB (ich meine nginx unterstützt auch UDP) der dann auf 1-n
Adguard VMs die Last verteilt. In dem Fall hättest Du es ausfallsicher und es gäb mehrere Stellen um im Fall der Fälle zu sehen was die Clients machen (FW-Log, LB-Log, tcpdump auf der FW). Adguard selbst würde ich dann zu quad9 oder cloudflare forwarden lassen.

Grüße
Christian
aqui
aqui 11.03.2025 aktualisiert um 11:37:51 Uhr
Goto Top
Adguard selbst würde ich dann zu quad9 oder cloudflare forwarden lassen.
Warum nicht lokale vertrauenswürdige DNS oder noch sinnvoller den lokalen DNS vom eigenen Provider anstatt Requests um die halbe Welt auf US Server zu senden.
https://privacy-handbuch.de/handbuch_93d.htm

Kein Feedback vom TO ist natürlich auch ein Feedback! face-sad
Wie kann ich einen Beitrag als gelöst markieren?
support-m
support-m 11.03.2025 um 18:00:12 Uhr
Goto Top
Zitat von @maeck:
A) Die Clients bekommen weiterhin den AD-DNS als DNS eingetragen, der AD-DNS leitet an Adguard weiter und Adguard an die Firewall.
Nachteil: Ich sehe in Adguard die einzelnen Clientanfragen nicht.
Hi,
du musst auch abklären lassen, ob das bei euch datenschutztechnisch erwünscht/gewollt ist. Wir nutzen in unserer Firma ein Pi-Hole und dort hat unser Chef darauf hingewiesen, dass die einzelnen Clientanfragen NICHT zuordnenbar sein sollen, daher ist genau diese Variante bei uns in Benutzung.

Denke auch daran, DOH (DNS over HTTPS) irgendwie aus dem Spiel zu nehmen, sonst bringt dir der beste Werbeblocker nichts, wenn die Browser stattdessen ihre eigenen DNS Anfrage über HTTPS machen.
https://de.wikipedia.org/wiki/DNS_over_HTTPS

Firefox und Chrome aktivieren das standardmäßig, soweit ich weiß.

MfG
aqui
aqui 11.03.2025 um 18:17:32 Uhr
Goto Top
Denke auch daran, DOH (DNS over HTTPS) irgendwie aus dem Spiel zu nehmen
Dazu solltest du, um Missverständnisse zu vermeiden, ergänzen das das ausschliesslich NUR für die Browser und ihre eigenen, intern hardgecodeten DNS Server gilt und es nur dort zu deaktivieren ist.
https://www.heise.de/hintergrund/DNS-Leck-Browser-ignorieren-Windows-Kon ...

DoH bzw. DoT ist ansonsten eine gute Sache wenn das im DNS Filter bei den Uplink DNS genutzt wird. Die Uplink DNS Server im Adguard supporten DoH und DoT im Gegensatz zum PiHole out of the box.
Ein Grund mehr den Adguard zu verwenden auf dem RasPi. face-wink
maeck
maeck 12.03.2025 aktualisiert um 00:13:38 Uhr
Goto Top
Vielen Dank für die Rückmeldungen!

Danke sehr, habe quer mitgelesen.

Wenn ich richtig verstanden habe, wäre die beste Wahl:
AD-DHCP vergibt an Clients DNS-IP vom Adguard
Adguard leitet als Upstream-Server an AD-DNS weiter
AD-DNS leitet als Upstream-Server (Forwarder) an die Firewall
Firewall an Provider DNS oder äquivalenten externen DNS
– richtig?

Dann bleibt als SPoF weiterhin der Adguard (außer ich baue einen HighAvailableAdguard mit Docker auf – gibt wohl Möglichkeiten dafür).

Noch eine Frage zum Upstream-DNS in Adguard: In den Einstellungen bietet der einen Upstream-DNS und einen "Private inverse DNS-Server".
Muss ich dann beim Upstream-DNS den internen AD-DNS eintragen und was beim "Private inverse DNS-Server"?

Oder kann ich beim "Private inverse DNS-Server" den AD-DNS eintragen (weil Weiterleitung nach intern, damit müsste das AD doch zufrieden sein, oder?) und beim Upstream-DNS direkt die Firewall eintragen? Denn dann könnte ich beim AD-DNS-Server als Forwarder auch den Adguard eintragen und der würde letztlich an die Firewall weiterleiten.


Zitat von @support-m:
du musst auch abklären lassen, ob das bei euch datenschutztechnisch erwünscht/gewollt ist. Wir nutzen in unserer Firma ein Pi-Hole und dort hat unser Chef darauf hingewiesen, dass die einzelnen Clientanfragen NICHT zuordnenbar sein sollen, daher ist genau diese Variante bei uns in Benutzung.
Danke für den Hinweis, soll in diesem Falle bei uns gerade sichtbar sein.


Vielen Dank!
chme91
chme91 12.03.2025 um 07:46:16 Uhr
Goto Top
Quad9 bietet halt ein bisschen extra Sicherheit und ist aus meiner Sicht vertrauenswürdig.
Mit Cloudflare habe ich bisher die beste Erfahrung gemacht was Geschwindigkeit angeht.

Beide sind über CDN weltweit verteilt. Wenn das nicht komplett schief geht, dann landen die Anfragen auch nicht irgendwo sondern in einem nahegelegenen PoP.

Das ist natürlich Geschmackssache und man kann selbstverständlich auch den Provider DNS als Upstream nutzen.
Dani
Dani 16.03.2025 um 14:44:31 Uhr
Goto Top
Moin,
Firefox und Chrome aktivieren das standardmäßig, soweit ich weiß.
seit wann ist dem so? konnte ich bisher nicht feststellen.

Dann bleibt als SPoF weiterhin der Adguard (außer ich baue einen HighAvailableAdguard mit Docker auf – gibt wohl Möglichkeiten dafür).
Soso... wo hast du das denn gelesen?
Eine weitere, unabhängige Instanz ist nicht im Sinne eines klassischen HA Lösung.


Gruß,
Dani